Pengelolaan TI KASI – Pertemuan 2

Pengelolaan TI – Level of Maturity Non Existence Tahap awal, komputerisasi dilakukan secara alamiah, tidak ada metodologi Initial Ada kegiatan penyusunan sistem yang terarah, masih bersifat ad hoc Repeatable Sudah menemukan pola pengembangan yang terarah, berjalan dengan pola yang sama.

Pengelolaan TI – Level of Maturity (2) Defined Seluruh proses telah didokumentasikan dan telah dikomunikasikan dan dilaksanakan berdasarkan suatu metoda tertentu Managed Proses komputerisasi telah dapat diukur dan dimonitor. Optimized Best Practices telah diikuti dan diotomatisasi pada sistem.

Audit SI – Ukuran Nilai Strategic Alignment Value Delivery Apakah penerapan it sudah sesuai dengan yang diharapkan, apakah sudah sesuai kebutuhan Value Delivery Komputerisasi bukan hanya untuk memenuhi kebutuhan tapi juga sudah dimaksudkan untuk memberikan nilai tambah, ex: penghematan biaya, meningkatkan kinerja.

Audit SI – Ukuran Nilai (2) Risk Management Sudah ada penaksiran resiko, ada jaminan kelangsungan operasi. Resources Management Pengelolaan sumber daya, termasuk pengembangan pengetahuan sudah dilakukan secara efesien

Standar Audit SI Standar Atestasi dan standar pemeriksaan akuntan (IAI) ISACA – standards, guidelines, and procedures Secara teknis mengacu kepada guidelines dan prosedur yang diatur dalam CObIT: CObIT executive summary, CObIT framework, CObIT Control Objectives, CObIT Control Practice, CObIT Management Guidelines, CObIT Security Baseline

Audit E-Commerce Audit dalam bidang yang cukup baru Diperlukan karena besarnya resiko yang ada Pengungkapan praktek bisnis, perlu keyakinan dan keandalan sistem, perlindungan atas informasi

Audit E-Commerce Merupakan bidang yang spesifik Bersifat front office system System berbasis teknologi informasi yang langsung berkaitan dengan transaction processing

E-Commerce - kendala Penjual dan pembeli tidak bertemu secara langsung Ada keraguan apakah barang akan benar-benar terkirim Berapa lama barang dapat diterima Ada keraguan apakah barang dapat ditukar kembali (garansi) Apakah transaksinya aman

Webtrust Sebagai jawaban atas kendala-kendala yang ada, diciptakan program webtrust Diciptakan oleh AICPA dan CICA sejak tahun 1997 Tujuannya adalah untuk mengurangi kelemahan pada sistem e-business dengan assurance standard

Webtrust - pembagian Online Privacy Situs perlu menjamin kerahasiaan , Konsekuensinya, harus ada kontrol efektif, pengungkapan bagaimana informasi diperoleh, digunakan, serta cookie Business practices and Transaction Integrity Proses transaksi harus lengkap akurat. Tanggung jawab atas mutu barang, waktu pengiriman dan aturan lainnya

Webtrust - pembagian Security Non Repudiation Confidentiality Situs harus melakukan pengamanan data (enkripsi, backup) Non Repudiation Situs harus melakukan proses pemeliharaan dan pengawasan bukti secara baik Confidentiality Situs harus dapat menunjukkan bahwa prosedur yang dirancang sudah memadai untuk mengakomodasi faktor kerahasiaan

Webtrust - pembagian Availability Customized Disclosure Ada jaminan sistem dan data telah sesuai dengan yang diungkapkan, harus terdapat ketentuan mengenai term and condition Ada sistem backup/replikasi jika terdapat kerusakan hardware/software Customized Disclosure Hal-hal khusus yang berlaku harus dinyatakan

Subsystems System Subsistem Susbsistem Level 0 Level 1 Level 2

Contoh Subsystem Management subsystem Top management IS management System development management Programming management Data administration QA management Security administration Operation management Application subsystem Boundary Input Communication Processing Database Output

Kerangka Kendali Manajemen Mengendalikan peran top management dalam perencanaan, organisasi, kepemimpinan, dan pengendalian fungsi SI Menyediakan perspektif dari berbagai model proses pengembangan SI yang dapat digunakan sebagai dasar pengumpulan dan evaluasi bukti Tentang fase-fase utama dalam siklus hidup program dan kontrol-kontrol penting yang harus diuji dalam setiap fase Tentang peran administrator data dan basis data serta kontrol yang harus diuji dalam fungsi-fungsi yang dilakukannya Tentang fungsi-fungsi utama yang dilakukan oleh administrator keamanan untuk mengidentifikasi ancaman terhadap fungsi SI serta untuk merancang, implementasi, operasi dan merawat kontrol yang mengurangi kerugian yang mungkin ditimbulkannya Tentang fungsi-fungsi utama yang harus dilakukan oleh manajemen penjaminan kualitas untuk memastikan bahwa pengembangan, implementasi, operasi dan pemeliharaan SI sesuai dengan standar kualitas Tentang fungsi utama yang dilakukan oleh manajemen operasi untuk memastikan operasi harian dari fungsi SI terkendali dengan baik

Kerangka Kendali Aplikasi Sub-sistem Aplikasi Penjelasan Pembatasan (Boundary) Berupa komponen yang menetapkan hubungan (pembatasan) antara user dan sistem. Input Berupa komponen yang menangkap (capture), menyiapkan, dan memasukan perintah dan data kedalam sistem. Communication Berupa komponen yang mengirimkan data antar sub-sistem dan sistem. Processing Berupa komponen yang melaksanakan (memproses) pengambilan keputusan, perhitungan, klasifikasi, pemesanan, peringkasan data dalam sistem. Database Berupa komponen yang mendefinisikan, menambah, mengakses,memodifikasi, dan menghapus data dalam sistem. Output Berupa komponen yang mengambil dan mempresentasikan data untuk user dari sistem.

Tujuan Pengendalian Internal Memeriksa ketelitian dan kebenaran data yang akan menghasilkan laporan-laporan yang dapat diandalkan Efektivitas dan efisiensi dalam operasi, yaitu efektif dalam mencapai tujuan organisasi secara keseluruhan dan efisien dalam pemakaian sumberdaya yang tersedia Membantu agar tidak terjadi penyimpangan terhadap hukum dan peraturan yang berlaku Mengamankan aset milik organisasi atau perusahaan termasuk data yang tersedia.

Tugas Auditor Auditor internal dan/atau eksternal Hello, I’m Auditor Auditor internal dan/atau eksternal Memahami kendali-kendali internal organisasi (atau sistem informasi), sehingga paham bukti2 apa yg harusnya dikumpulkan, dan bagaimana mengevaluasi bukti2 tsb. Kemudian, auditor akan memberikan rekomendasi kepada organisasi.

Major Steps in an IS Audit

Major Steps in an Audit Planning the audit: auditor menetapkan pemahaman kendali internal yang digunakan dlm organisasi Test of controls: auditor menguji kendali untuk mengevaluasi efektivitas operasi Test of transactions: auditor menguji transaksi untuk menentukan dimana kerugian material terjadi (atau mungkin terjadi), kemudian mengevaluasinya Test of balance or overall result: auditor mencari bukti untuk menilai kerugian yang terjadi atau mungkin terjadi Completion of the audit: auditor memberi pendapat tentang perbaikan yang mungkin dilakukan berdasarkan bukti yang diperoleh.

Audit Risks Selama proses audit, terdapat beberapa resiko yg mengakibatkan prosedur audit gagal Resiko tsb: Inherent risk: resiko terselubung Control risk: audit sistem informasi tidak dapat mendeteksi kelemahan kendali Detection risk: audit gagal mendeteksi kerugian

Auditing around or through computer? Auditor dapat melakukan audit around computer, jika: Sistemnya sederhana dan batch-oriented Sistem aplikasi menggunakan paket umum sesuai platform Sistem menekankan peran perlindungan aset, pengelolaan integritas data, serta pencapaian tujuan efektivitas dan efisiensi pada pengguna, bukan komputer Auditor dapat melakukan audit through computer, jika: Inherent risk yang berkaitan dengan aplikasi tinggi Input dan output aplikasi besar dan sulit diukur validitasnya Bagian penting dari kontrol internal sistem berada di aplikasi Proses logik dalam aplikasi cukup kompleks

Dua pendekatan pengendalian internal Pendekatan statis Berdasarkan pembagian wewenang di dalam pengelolaan perusahaan atau entitas pada masa lalu yg bersifat sentralisasi. Jika kita telusuri bahwa intelektualitas berada pada pucuk pimpinan perusahaan. Semakin rendah posisi seseorang, maka semakin sedikit pengetahuannya ttg pencapaian tujuan perusahaan, artinya hanya sekedar menjalankan perintah atasannya. Pendekatan dinamis Pengendalian internal sebagai sebuah proses Konsep ini terkait dg perkembangan metoda pengelolaan sumber daya manusia pada organisasi yg bersangkutan. Perubahan metoda pengelolaan tersebut adalah perubahan ke metoda pengelolaan manajemen melalui tujuan (management by objective) menggantikan manajemen melalui kekuasaan (management by drive).

Pendekatan Dinamis Didorong oleh peningkatan kualitas SDM, spesialisasi dpt meningkatkan kinerja seseorang, kepuasan kerja dpt meningkatkan produktivitas, serta bahwa persaingan makin ketat, perlu keputusan yang cepat. Konsep pengendalian internal juga mengalami perubahan dari konsep ketersediaan pengendalian internal beralih ke konsep proses pencapaian tujuan. Dg konsep baru tersebut disadari bahwa intelektualitas tidak lagi terletak pada pucuk pimpinan, tetapi di lapisan bawah. Mereka yg dekat dengan konsumenlah yang paling mengerti kebutuhan pasar. Pengorganisasian yg paling tepat adalah seperti orkes simponi (pekerja sebagai ujung tombak dengan spesialisasi masing-masing, manajer sebagai konduktor) Organisasi ini sepenuhnya akan digerakan oleh dinamika para pekerja (ujung tombak) sesuai spesialisai masing-masing. Untuk menjaga kekompakan agar terjadi irama yg serasi dibutuhkan seorang manajer yg berfungsi sbg konduktor. Manajer tersebut tdk lg hrs memiliki pengetahuan teknis seperti yg dimiliki pemain orkesnya, tetapi yg diperlukan hanya seorang yg mampu mengatur tempo dan menguasai tingkatan nada

Pengaruh Komputer dalam Pengendalian Perubahan dalam Pengumpulan fakta (Changes to Evidence Collection) Perubahan dalam Evaluasi Fakta (Changes to Evidence Evaluation)

Pengaruh Komputer dalam Pengendalian Internal Tujuan audit SI dapat dicapai dengan baik jika manajemen meningkatkan sistem kendali internalnya, yaitu dengan: Separation of Duties Delegation of Authority and Responsibility Competent and Trustworthy Personnel System of Authorizations Adequate Documents and Records Physical Control over Assets and Records Adequate Management Supervision Independent Checks on Performance Comparing Recorded Accountability with Assets

Cooperation of public auditors (#1) The Information Technology Security Evaluation Criteria (ITSEC): sekumpulan kriteria untuk mengevaluasi keamanan komputer dalam produk dan sistem Trusted Computer System Evaluation Criteria (TCSEC): standar US DoD (Department of Defense) berupa sekumpulan requirements untuk menilai efektivitas kontrol keamanan komputer dalam sistem ISO 17799: terdiri atas ISO17799 (aka ISO 27002), yang merupakan sekumpulan kontrol keamanan (a code of practice), dan ISO 27001 (dahulu BS7799-2), yang merupakan spesifikasi standar untuk Information Security Management System (ISMS). CISA/Certified Information Systems Auditor: sertifikasi IT

Cooperation of public auditors-2 Control Objectives for Information and related Technology (COBIT): sekumpulan best practices (framework) untuk manajemen IT, berupa sekumpulan ukuran, indikator, proses dan best practives untuk memaksimalkan manfaat penggunaan IT, dan melakukan tata kelola serta kontrol IT dalam perusahaan Information Technology Infrastructure Library (ITIL): sekumpulan konsep dan praktek Information Technology Services Management (ITSM), pengembangan Information Technology (IT) dan operasi IT. Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka.

Questions Seberapa penting audit E- commerce dan pihak mana saja yang akan mendapatkan manfaat dari audit E – commerce Bilamana audit e – commerce dibutuhkan Apa yg dimaksud dengan webtrust! Apa yang dimaksud dengan inherent risk Carilah model – model yang dapat digunakan untuk melakukan audit dan apa saja cakupan audit masing – masing model